Ransomware attacks: Τo file-sharing site SubTorrents που και χαίρει μεγάλης εκτίμησης στην Ισπανία αλλά και στην Λατινική Αμερική, μολύνει ύπουλα τους χρήστες του με Trojan, με την βοήθεια του Fiesta Exploit Kit.
Από την στιγμή που κάποιος επισκέπτεται την ιστοσελίδα, ανακατευθύνεται εν αγνοία του σε κακόβουλο payload.
Πέρα από τον παράνομο χαρακτήρα δραστηριoτήτων όπως το κατέβασμα μουσικής και ταινιών από Torrents sites, σε κάποιες χώρες πολλά sites που προωθούν τέτοιο υλικό γεμίζουν παραπλανητικές διαφημίσεις που στοχεύουν να ξεγελάσουν τον χρήστη ώστε να εκτελέσει κακόβουλα προγράμματα που ενδέχεται να κρύβουν πολλούς κινδύνους.
«Η λήψη παράνομων torrents είναι επικίνδυνη. Πέρα από τα πλαστά αρχεία, οι χρήστες πρέπει να πλοηγηθούν μέσα από μια θάλασσα παραπλανητικών διαφημίσεων και pop ups». δηλώνει σε blog ο Jerom Segura, ο υπεύθυνος ερευνητής ασφαλείας στο Malwarebytes Labs.
Λαμβάνοντας υπόψη τα μεγάλα ποσά τέτοιων διαφημίσεων στο site SubTorrents, θα ήταν λογικό να υποπτευθεί κανείς πως κάτι κακό συμβαίνει. Αλλά τελικά, η ίδια η ιστοσελίδα έχει παραβιαστεί και «σερβίρει» στους χρήστες της ένα καλά κρυμμένο iframe.
Σύμφωνα με τον Segura ο hacker που προκάλεσε την ζημιά, έβρισκε κάποια απόλαυση στο να κάνει τα πράγματα περίπλοκα. Αντί να εισάγει απευθείας ένα κακόβουλο iframe στο exploit kit landing, επέλεξε να το δημιουργήσει on the fly ανακτώντας το περιεχόμενο από εξωτερικό .js.
Η επίθεση συμπεριλάμβανε επίσης την τοποθέτηση cookie στον υπολογιστή του χρήστη, το οποίο ελέγχει τον κώδικα στην έναρξη της επίθεσης. Ο Segura τόνισε πως είναι ένας απλός τρόπος να «σημαδέψει» κανείς ένα PC στο οποίο έχει ήδη επιτεθεί και είναι πιθανότατα μολυσμένο ώστε να μην χρειαστεί καθόλου προσπάθεια όταν προσπαθήσει να του επιτεθεί ξανά.
Όσο για το payload, o Segura αναφέρει ότι μοιάζει με το Kovter ransomware και τις κακόβουλες διαφημίσεις-απάτη. Το Kovter ανακαλύφθηκε για πρώτη φορά το 2013, και αυτό η συγκεκριμένη παραλλαγή ransomware στοχεύει τυπικά σε επισκέπτες παράνομων sites για ενήλικες. Κλειδώνει το τηλέφωνο, ή το PC και στην συνέχεια εμφανίζει ένα μήνυμα που λέει πως ο χρήστης έχει παραβεί το νόμο και θα πρέπει να πληρώσει πρόστιμο στην αστυνομία για το ξεκλείδωμα της συσκευής του.
Για να κάνει την απειλή περισσότερο ρεαλιστική το ransomware Kovter σαρώνει το ιστορικό του browser του χρήστη για σχετικό περιεχόμενο και εμφανίζει κάποια σε ένα splash screen. Αυτή η ένωση δεν είναι καινούργια, έχουμε ξαναδεί στο παρελθόν το Fiesta ΕΚ να προωθεί το Kovter malware.
O Segura προσθέτει «Οι επισκέπτες Torrent sites, μπορεί να εξοικονομούν φαινομενικά λίγα χρήματα, αλλά διακινδυνεύουν πολύ περισσότερα, όπως το να μολύνουν τον υπολογιστή του με κακόβουλο λογισμικό. Το Ransomware είναι πάρα πολύ διαδεδομένο και σημαίνει πως τα αρχεία του χρήστη κρυπτογραφούνται (συμπεριλαμβανομένων και των ταινιών-μουσικής που έχει κατεβάσει) ώστε να μην είναι δυνατή η πρόσβαση του, μέχρι να ξεπληρώσει τα «λύτρα».
